Bitcoin $64414.77 
Ethereum $3142.1 
Tether USDt $1 
BNB $608.17 
Solana $144.02 
USDC $1 
XRP $0.53 
Dogecoin $0.15 
Toncoin $5.39 
Cardano $0.47 
Shiba Inu $0 
Avalanche $35.41 
TRON $0.12 
Polkadot $6.85 
Bitcoin Cash $477.52 
Chainlink $14.77 
NEAR Protocol $7.23 
Polygon $0.72 
Litecoin $85.57 
Internet Computer $13.41 
Провідні експерти у сфері кібербезпеки, технічні фахівці і одні з найсильніших білих хакерів з усього світу зібралися 8-11 жовтня в Києві в рамках міжнародного форуму HackIT 4.0. Організатор заходу — українська компанія Hacken, яка допомагає компаніям по всьому світу убезпечити свій бізнес. Тема HackIT 4.0 — Exploit Blockchain, тому основний акцент доповідачів форуму — це використання технології блокчейн в сфері кібербезпеки. Під час форуму ми поспілкувалися з менеджером з комунікацій HackenProof Марком Савчуком.
Чим займається HackenProof?
Hacken надає широкий спектр послуг з кібербезпеки, спеціально розроблених для індивідуальних потреб замовника. Компанія залучає провідних фахівців з усього світу для надання персоналізованих рішень з кібербезпеки для бізнесу. Hacken володіє кількома продуктами: Hacken Hub, HackenProof, CER і HackIT. Зокрема HackenProof, де працюю я, — це баг-баунті платформа.
Як це працює?
Баг-баунті — це процес, в якому компанія залучає фахівців з кібербезпеки для тестування програмного забезпечення на уразливості за винагороду. Якщо простими словами, то компанія приходить до нас на платформу і замовляє послугу з пошуку вразливостей. Згодом сотні хакерів по всьому світу намагаються «зламати» цей сайт чи продукт. Якщо знаходять баг, тоді репорт відбувається через наш сайт. Ми його підтверджуємо або спростовуємо. Лише після підтвердження послуга оплачується. Ціна встановлена в скоупі (заздалегідь прописаному об’ємі робіт), але кінцеве рішення з приводу оплати приймає компанія-клієнт.
Кожен клієнт обслуговується індивідуально, але система пошуку вразливостей приблизно однакова. Якщо ви, припустимо, випустили мобільний додаток, ми складаємо технічне завдання для хакерів. Ви не можете просто прийти і сказати “тестуйте”, тому що треба знати що входить в послугу, за що будуть чи не будуть платити.
Можна сказати, що це такий аутсорс для білих хакерів. Якщо порівнювати з компаніями, які проводять Penetration Test, відмінність роботи платформи HackenProof в тому, що тут не просто 5-10 чоловік, які займаються пошуком багів і ви їм повинні заплатити в будь-якому випадку — знайдуть вони щось чи ні. В нас оплата відбувається тільки після підтвердження знайдених багів. Це не означає, що Penetration Test є марною процедурою, нас просто різний підхід.
Розкажіть про Bug bounty марафон Hacken Cup
Ми привезли 25 білих хакерів з усього світу на Bug bounty марафон Hacken Cup. Вони отримали доступ до трьох продуктів і за добу виявили понад 100 вразливостей на їхніх сайтах, в мобільних додатках та соцмережах. Це були топові спеціалісти, які зламували Facebook, Google, Yahoo, і той факт, що вони повідомили про 102 бага, вже говорить про рівень цих хакерів. До речі, для компаній, яких “ламали” такий підхід значно дешевше, тому що вони отримали дуже концентровану дозу уваги до їхнього продукту.
Як з приводу українських компаній та держструктур, чи звертаються вони до Hacken?
Поки що дуже важко вибудовувати стратегію спілкування з українськими компаніями. Часто вони думають, що найкращий спосіб — це замовчувати і не говорити про існуючі (знайдені) проблеми, з надією, що ніхто не дізнається, що їх тестували на баги. Навіть найбільш передові компанії проводять публічні баг-баунті і повідомляють про знайдені і виправлені помилки. Також існує проблема, що немає персоналу, який може грамотно обробити все, що дають в результаті хакери. А ми можемо, тому що у нас є профільна компетенція і надаємо компаніям-замовникам готовий звіт, в якому написано «вразливість така тут і для того, щоб її полагодити потрібно зробити наступне». Ми той медіум, який допомагає компаніям спілкуватися з хакерами.
На баг-баунті марафоні була компанія, яку білі хакери зламали за 40 хвилин і засновники були дуже здивовані такою швидкістю. Хочеться відзначити, що немає жодної компанії в світі, яка не має проблем з безпекою. В той час, як в Facebook і Google, де працюють без перебільшення найрозумніші люди в світі, трапляються зломи в системі. В Україні зараз трохи складно виходити на держструктури, тому що навіть у тих, хто розуміє наскільки важлива кібербезпека, просто зв’язані руки. Або це необхідно виставляти на тендер, але ніхто не гарантує, що компанія, яка запропонує за свою послугу на долар менше, зробить якісну роботу. На тендері дуже складно оцінити інтелектуальну роботу.
Які перспективи розвитку компанії Hacken?
Перспективи величезні, оскільки ризики того, що вас “зламають” зростають з кожним днем, відповідно ринок кібербезпеки також зростає. Для нас збирати ком’юніті білих хакерів — це робота № 1 наразі. Елементарно, щоб привести знаменитого хакера сюди, треба довести, що з нами гідно працювати. Заслужити довіру вимагає дуже багато зусиль і часу, тому підтримуватимемо репутацію і будемо далі завойовувати прихильність в усьому світі.
Чи можна дати якісь загальні поради для компаній з приводу кібербезпеки?
- Дуже важливо проводити баг-баунті публічні, оскільки компанія таким чином всім заявляє: “Ми ставимося до кібербезпеки серйозно!”. Я як клієнт не хочу працювати в додатку, який можуть завтра хакнути і я втрачу свою інформацію або гроші.
- Важливо пам’ятати, що проблема кібербезпеки нікуди не дінеться і з кожним роком ставатиме все більше проблем і все складніше їх знайти. Ви бачите, що творилося, коли в минулому році хакери з Росії поклали всю країну. Це стало однією з причин, чому СЕО Hacken вирішив все-таки заснувати платформу.
- Ну і ще одна порада. Баг-баунті — це не панацея, але є одним з важливих етапів в розробці безпечного продукту.
Фото: HackenProof
